Hekk kif id-dinja ssir aktar diġitalizzata u dejjem aktar interkonnessa, l-esponiment għat-theddid ċibernetiku huwa aktar imminenti. L-esperti tas-sigurtà tal-informazzjoni ta’ spiss jiddikjaraw li mhijiex kwistjoni ta’ “jekk” iżda pjuttost ta’ “meta” ċerta entità se tkun fil-mira taċ-ċiberkriminali. Il-qasam tal-avjazzjoni mhuwiex immuni għal theddid bħal dan. Hemm theddid għas-sigurtà tal-informazzjoni li jista’ jwassal għal tfixkil fl-operazzjonijiet jew impatt fuq is-sikurezza tal-avjazzjoni.
Il-missjoni tal-EASA biex tiżgura l-ivvjaġġar bl-ajru sikur fl-Ewropa (u madwar id-dinja) tinkludi l-mitigazzjoni tar-riskji għas-sigurtà tal-informazzjoni. Il-pakkett Regolatorju tal-Unjoni Ewropea (UE) jeħtieġ li r-riskji għas-sigurtà tal-informazzjoni jiġu identifikati, ivvalutati u indirizzati b’mod proporzjonat minn organizzazzjonijiet attivi fl-ekosistema kollha tal-avjazzjoni ċivili u mbagħad jiġu kkontrollati biex jiġu evitati effetti avversi fuq is-sikurezza taċ-ċittadini. Din l-ekosistema tinkludi organizzazzjonijiet involuti fid-disinn, il-produzzjoni, il-manutenzjoni, l-operazzjonijiet, it-taħriġ tal-inġenji tal-ajru u l-attivitajiet kollha meħtieġa biex jiġu żgurati operazzjonijiet ta’ titjir sikuri.
Liema huma t-theddidiet għall-avjazzjoni u minn fejn ġejjin?
L-avjazzjoni hija “sistema ta’ sistemi” li tinkludi — flimkien ma’ prodotti ajrunawtiċi u t-teknoloġiji assoċjati tagħhom — nies, proċessi, u assi intanġibbli oħrajn li min-naħa tagħhom huma vulnerabbli għat-theddid għas-sigurtà tal-informazzjoni.
Is-sistemi differenti kollha huma kumplessi u interkonnessi ħafna. Hemm għadd bla qies ta’ perkorsi ta’ attakk li jistgħu jwasslu għal problema ta’ sikurezza u l-inġenju tal-ajru huwa l-aħħar linja ta’ difiża. Kwalunkwe konnessjoni bejn l-inġenji tal-ajru u l-art (bla fili jew le), kwalunkwe komponent ta’ manutenzjoni, kwalunkwe sistema industrijali u naturalment il-katina tal-provvista huma kollha soġġetti għal theddid potenzjali. 
Dawn it-theddidiet huma ksur potenzjali li jirriżulta minn aċċess mhux awtorizzat, użu, żvelar, tfixkil, modifika u/jew qerda ta’ informazzjoni u ta’ sistemi ta’ informazzjoni involuti fis-sistema tal-avjazzjoni. Ħafna attakki jistgħu jsibu l-kawża ewlenija tagħhom f’negliġenza jew nuqqas ta’ għarfien min-naħa tal-impjegati.
It-theddidiet jistgħu jiġu minn diversi partijiet inklużi l-atturi taċ-ċiberkriminalità, hacktivisti, u anki atturi sponsorjati mill-istat. Il-motivazzjoni wara attakki bħal dawn tista’ tkun raġunijiet finanzjarji, politiċi jew personali bħar-rikonoxximent jew sens ta’ kisba.
Liema setturi fl-avjazzjoni jidhru li huma l-aktar attraenti għal atturi malizzjużi?
Abbażi tad-data miġbura mit-tim tal-Intelliġenza dwar it-Theddid Ċibernetiku tal-EASA, l-ajruporti dehru li huma l-aktar mira popolari ta’ attakki ċibernetiċi lejn l-aħħar tal-2024, b’aktar minn 50 % tal-attakki mmirati rreġistrati kontra l-avjazzjoni. Ħafna minn dawn huma attakki li Jwaqqfu s-Servizzi – jiġifieri meta ċ-ċiberkriminali jegħlbu s-sistema b’ammont għoli ta’ traffiku sabiex iwaqqfuha milli tiffunzjona. Dan jista’ jiġi konness ma’ attività ta’ hacktivista, li ħafna drabi tkun xprunata mit-tensjoni ġeopolitika. Jidher li l-ajruporti jipprovdu viżibilità għolja meta jkunu fil-mira minħabba l-impatt viżibbli sinifikanti wara inċident. Il-bords tal-kanċellazzjoni tat-titjiriet u l-passiġġieri mdejqa bid-dewmien huma materjal viżwali faċli għall-istejjer tal-aħbarijiet.
L-operaturi tal-ajru jidhru li huma t-tieni l-aktar mira attraenti għal atturi malizzjużi, b’madwar 25% tal-attakki mmirati lejn il-linji tal-ajru. Minbarra l-attakki li Jwaqqfu s-Servizzi, l-operaturi tal-ajru jsofru wkoll minn attakki ta’ ransomware (meta l-kriminali ċibernetiċi jikkriptaw id-data ta’ entità u jitolbu riskatt biex jiddekriptaw din id-data) kif ukoll ksur tad-data. Għaldaqstant, l-attakki għandhom mhux biss impatt fuq is-sikurezza iżda wkoll impatt fuq il-kontinwità tan-negozju u l-operazzjonijiet.
Setturi oħra affettwati fuq il-bażi tad-data rreġistrata huma l-manifatturi tal-inġenji tal-ajru u l-manutenzjoni, it-tiswija, u r-reviżjoni tal-organizzazzjonijiet kif ukoll l-istituzzjonijiet governattivi, li kuljum isofru wkoll tipi differenti ta’ attakki ċibernetiċi.
X’qed tagħmel l-EASA biex tagħmel l-avjazzjoni aktar reżiljenti għall-attakki ċibernetiċi?
L-approċċ tal-EASA għaċ-ċibersigurtà fl-avjazzjoni għandu erba’ pilastri: iċ-ċertifikazzjoni tal-prodotti tal-avjazzjoni, ir-riskji għas-sigurtà tal-informazzjoni organizzattiva, il-kondiviżjoni tal-informazzjoni u l-bini tal-kapaċità.
Ċertifikazzjoni tal-Prodotti tal-Avjazzjoni
Għall-ewwel, iċ-ċibersigurtà f’dan il-kuntest ġiet indirizzata fuq bażi ta’ każ b’każ. L-applikanti (organizzazzjonijiet li qed ifittxu ċertifikazzjoni ta’ inġenju tal-ajru) kellhom bżonn jivvalutaw l-effetti potenzjali li t-theddid għas-sigurtà tal-informazzjoni jista’ jkollu fuq is-sikurezza tas-sistemi u n-networks tal-inġenji tal-ajru.
Bis-sistemi u l-partijiet tal-inġenji tal-ajru li qed isiru iktar interkonnessi, kien hemm iktar perkorsi ta’ attakk potenzjali. Għalhekk, it-theddida ma setgħetx tkompli tiġi indirizzata fuq bażi ta’ każ b’każ u kien meħtieġ approċċ olistiku.
Għal dak il-għan, l-EASA inkorporat rekwiżiti speċifiċi għaċ-ċertifikazzjoni tal-inġenji tal-ajru li jispeċifikaw li “it-tagħmir, is-sistemi u n-networks tal-ajruplani, meqjusin b’mod separat u fir-rigward ta’ sistemi oħrajn, iridu jkunu protetti minn interazzjonijiet elettroniċi intenzjonati mhux awtorizzati li jistgħu jirriżultaw f’effetti negattivi fuq is-sikurezza tal-ajruplan”.
Riskji għas-Sigurtà tal-Informazzjoni Organizzattiva
Peress li t-theddid għas-sigurtà tal-informazzjoni mhuwiex biss limitat għad-disinn tal-inġenju tal-ajru iżda jinkludi wkoll in-nies u l-proċessi, ġie ppubblikat sett ġdid ta’ regoli fl-2022 u fl-2023, l-hekk imsejħa “Parti-IS”, fejn l-IS tirrappreżenta “Sigurtà tal-Informazzjoni” (li tikkonsisti mill-Implimentazzjoni Delegata (UE) 2022/1645 u l-Implimentazzjoni (UE) 2023/203, għal dawk li jixtiequ jidħlu aktar fil-fond). Il-Parti-IS tistabbilixxi r-rekwiżiti bil-għan li s-sistema tal-avjazzjoni tiġi protetta minn riskji għas-sigurtà tal-informazzjoni li għandhom impatt potenzjali fuq is-sikurezza. Il-Parti-IS tkopri s-sistemi tat-teknoloġija tal-informazzjoni u l-komunikazzjoni u d-data użata minn Organizzazzjonijiet u Awtoritajiet Approvati għall-finijiet tal-avjazzjoni ċivili. Biex tilħaq l-għan tagħha, il-Parti-IS teħtieġ it-twaqqif, l-implimentazzjoni u ż-żamma ta’ Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni.
Kondiviżjoni ta’ informazzjoni
It-tielet pilastru huwa l-kondiviżjoni tal-informazzjoni, li bħalissa qiegħed isir taħt żewġ flussi differenti. Iċ-Ċentru Ewropew għaċ-Ċibersigurtà fl-Avjazzjoni, li jikkonsisti minn partijiet ikkonċernati kemm mill-industrija kif ukoll mill-awtoritajiet, u n-Network ta’ Analisti Ċibernetiċi, li jinkludi rappreżentanti mill-Istati Membri. Dawn huma komunitajiet fejn inbniet fiduċja fost l-organizzazzjonijiet parteċipanti li tippermettilhom jikkondividu l-għarfien, bħal intelliġenza dwar it-theddid fil-forma ta’ rapporti, twissijiet dwar theddid possibbli u informazzjoni intuwittiva mill-analiżi tal-inċidenti, u biex jippromwovu l-kollaborazzjoni fost il-membri.
Bini ta’ kapaċità
Fl-aħħar iżda mhux l-inqas, l-attivitajiet ta’ bini tal-kapaċità huma parti importanti mill-approċċ tal-EASA dwar iċ-ċibersigurtà. Minħabba l-pass mgħaġġel tal-avvanzi teknoloġiċi, huwa importanti li t-tim taċ-ċibersigurtà tal-EASA jibqa’ aġġornat. Għaldaqstant, it-taħriġ huwa element importanti tal-attivitajiet tat-tim flimkien mar-riċerka, li għandha rwol ewlieni biex wieħed jifhem l-ambjent futur tat-theddid u biex tiġi adottata pożizzjoni proattiva kontra t-theddid għaċ-ċibersigurtà.
Proġett ta’ Riċerka ta’ Orizzont Ewropa: CYBER - Reżiljenza għall-avjazzjoni u xenarju ta' theddid għaċ-ċibersigurtà
Fl-2024, l-EASA nediet proġett ta’ riċerka dwar xenarju tar-reżiljenza tal-avjazzjoni ċibernetika u tat-theddid taċ-ċibersigurtà. Dan il-proġett għandu l-għan li jidentifika t-theddid għaċ-ċibersigurtà li jista’ jkollu impatt negattiv fuq is-sikurezza tal-operazzjonijiet ta’ titjir. B’dan l-għarfien, l-EASA għandha l-għan li tgħin fil-bini ta’ sistema tal-avjazzjoni aktar b’saħħitha u aktar reżiljenti għall-futur.
Il-Komunità taċ-Ċibersigurtà tal-EASA
Jekk int interessat li ssegwi l-attivitajiet kollha ta’ hawn fuq, l-EASA ħolqot Komunità taċ-Ċibersigurtà fejn aħna nikkondividu informazzjoni dwar il-firxa wiesgħa ta’ suġġetti relatati maċ-ċibersigurtà fl-avjazzjoni. Kemm jekk int entużjast kif ukoll espert fil-qasam, għandna l-pjaċir li nilqgħuk biex tkun tista’ tikkondividi għadd ta’ suġġetti interessanti fil-qasam taċ-ċibersigurtà fl-avjazzjoni.
Xi noti dwar l-interferenza tal-GNSS: l-imblukkar u l-ispoofing
Minn Frar 2022, kien hemm żieda notevoli fl-interferenza u l-spoofing tas-sistema globali ta’ navigazzjoni bis-satellita (GNSS), b’mod partikolari f’reġjuni li jinsabu madwar żoni ta’ kunflitt u żoni sensittivi oħrajn bħall-Mediterran, il-Baħar l-Iswed, il-Lvant Nofsani, il-Baħar Baltiku, u l-Artiku. Jista’ jkun li rajt ukoll xi aħbarijiet dwar dan. Dawn l-inċidenti jaqgħu wkoll taħt iċ-ċibersigurtà tal-avjazzjoni.
Jamming jirreferi għall-interferenza intenzjonata tal-frekwenza tar-radju li tipprevjeni lir-riċevituri tal-GNSS milli jimblukkaw sinjali bis-satellita, biex b’hekk is-sistema ssir ineffettiva jew degradata. Spoofing jinvolvi x-xandir ta’ sinjali satellitari ffalsifikati biex iqarrqu bir-riċevituri tal-GNSS, u jikkawża data żbaljata dwar il-pożizzjoni, in-navigazzjoni, u s-sinkronizzazzjoni – għalhekk, is-sistema tista’ tgħid lill-bdoti li qed itiru fuq Pariġi fis-7 ta’ filgħodu, meta fir-realtà, ikunu qed itiru minn fuq Ruma billejl. Dawn l-interferenzi jistgħu jwasslu għal diversi sfidi operattivi għall-inġenji tal-ajru u s-sistemi fuq l-art, iżda ma kien hemm ebda impatt fuq is-sikurezza tat-titjiriet. L-EASA qed timmonitorja l-fenomenu b’mod kontinwu, biex tkun lesta tagħti pariri lill-atturi kollha tal-avjazzjoni f’każ li jkun hemm indikazzjonijiet li s-sikurezza tista’ tiġi affettwata.